Этапы бизнес-процесса
Современные концепции рассматривают управление бизнес-процессами как непрерывный цикл, состоящий из следующих этапов:
- Идентификация процесса. На этом этапе ставится бизнес-проблема, процессы, относящиеся к решаемой проблеме, идентифицируются, разграничиваются и соотносятся друг с другом.
- Выявление процесса («то, как это есть»). Здесь текущее состояние каждого из соответствующих процессов задокументировано, как правило, в форме одной или нескольких моделей процесса.
- Анализ процесса. На этом этапе вопросы и проблемы, связанные с текущим состоянием процесса, идентифицируются, документируются и по возможности количественно оцениваются с использованием показателей эффективности.
- Улучшение процесса. Цель этого этапа – выявить, какие изменения в процессе необходимо произвести, чтобы решить проблемы, выявленные на предыдущем этапе, и дать организации возможность выполнить свои задачи в области производительности.
- Выполнение процесса. На этом этапе готовятся и выполняются изменения, необходимые для перехода от процесса «как есть» к будущему процессу.
- Мониторинг и контроль процесса.
Как работает ISO 22301?
Логика работы этого стандарта ISO — та же самая, что и у большинства подобных стандартов. Его разработчики не знают, что конкретно может угрожать вашему бизнесу
Может быть, для вашего дела важно, чтобы не случилось неурожая или не началась эпидемия чумы свиней. Может быть, ваши поставки зависят от направления ветров в Охотском море
Может быть, вам угрожают возможные забастовки рабочих. Разработчики не знают этого.
Да им и не нужно этого знать. Вся необходимая информация уже находится в ваших руках — или же вы можете без проблем собрать ее, проанализировав ситуацию. А разработчики стандарта ISO 22301 предлагают вам максимально хорошо на данный момент проработанные правила обработки этой информации и планирования действий с опорой на нее.
Если проводить аналогии с устройством компьютера, то этот стандарт — материнская плата, которую вы укомплектуете рабочими элементами вроде процессора и блоков оперативной памяти. Без нее все это так и осталось бы грудой бесполезного кремния, металла и пластика.
ISO 22301 — инструкция по созданию инструкций для действий в возможных критических ситуациях.
Карта рисков как инструмент самообследования
Одним из инструментов самообследования (результатом комплаенс-анализа) является карта рисков контролируемого лица – это визуальный документ, в котором можно отразить направления проверок, требования, текущее состояние дел. Комплаенс-программа позволит определить сроки приведения дел в соответствие, прописать риски и индикаторы, отражающие уровень вероятности срабатывания каждого из рисков, провести оценку последствий и определить способы сокращения их влияния.
Важно выявлять риски заранее, чтобы не дать им вырасти до критических или катастрофических. Вовремя принятые в работу риски минимизируют вероятность санкций при проверке контрольно-надзорными органами
Эксперты «Национальной Ассоциации Комплаенс» помогут вам опознать риски, составить карту рисков, минимизировать их срабатывание, уменьшить негативные последствия.
MOF (Microsoft Operations Framework)
— Управление информационными технологиями эта тема, в которой компания Microsoft имеет свое видение. Система стандартов Microsoft Enterprise Services от компании Microsoft представляет собой три области:
- Первой областью является деятельность по подготовке к внедрению информационной системы где формализуются требования к ИТ и определяется объем проекта. Подготовка к внедрению информационной системы описана в стандарте Microsoft Readiness Framework (MRF);
- Второй областью является деятельность по внедрению информационной системы на предприятии, где определяются основные вопросы разработки и развертывания ИТ- решения. Построение и внедрение информационной системы описано в стандарте Microsoft Solutions Framework (MSF);
- Третьей областью является деятельность по поддержке информационной системы внедренной на предприятии. Вопросы эксплуатации информационной системы рассматриваются в стандарте Microsoft Operations Framework (MOF).
MOF состоит из набора статей (white papers), руководств (operations guides), обучающих курсов и включает в себя три основные модели:
- Модель процессов (MOF Process Model); o Модель команды (MOF Team Model);
- Модель управления рисками (MOF Risk Model).
Общая похожесть данного стандарта на ITIL и ориентация на продукты Microsoft делает данный стандарт менее используемым, относительно ITIL. Однако для пользователей технологий Microsoft использование данного стандарта оправдано, хотя нужно понимать, что большинство процессов в MOF перешло из библиотеки ITIL.
Скорректировать стратегию компании
Хотя все больше российских компаний включает вопросы ESG в свои долгосрочные стратегии, глобальные стандарты измерения составляющих устойчивого развития до сих пор отсутствуют — а значит, оценить степень приверженности тех или иных игроков рынка ESG-принципам можно только на добровольных началах.
Всегда существует опасность показных действий, работы «на публику» и бессмысленной PR-активности там, где на деле ничего не происходит.
Парадоксально, но мощный толчок к принятию ESG-культуры в России придала пандемия. Многие компании были вынуждены задуматься (иногда впервые) об условиях труда своих сотрудников, социальных гарантиях, и в итоге вышли из пандемии с совершенно новым уровнем мобильности, зрелости операционной инфраструктуры и скорости принятия решений.
Интересно, что тон в этой трансформации задавали в первую очередь частные банки, которые вроде бы не имеют непосредственного отношения к снижению углеродных выбросов.
Институциональные инвесторы, в свою очередь, требуют, чтобы при разработке долгосрочных стратегий компании учитывали в них факторы ESG: они поднимают эти вопросы в ходе проектов, а иногда пользуются своим правом на внесение предложений, чтобы заставить компании действовать.
В 2020 году более 90% институциональных инвесторов во всем мире, по данным PwC, отметили, что ESG-показатели начинают играть ключевую роль в принятии инвестиционных решений
Некоторые из крупнейших управляющих активами голосуют против директоров в компаниях, которые, по их мнению, уделяют вопросам ESG недостаточное внимание
Выполняя анализ, направленный на выявление рисков и возможностей роста, инвесторы стали обращать внимание на нефинансовые факторы, имеющие отношение к экологическим, социальным и управленческим аспектам, и все чаще выбирают инвестиции исходя исключительно из этических принципов.
От менеджеров компаний в условиях ограниченных ресурсов на ESG-трансформацию требуется максимально четко расставить приоритеты и не пытаться охватить сразу все направления и цели устойчивого развития при разработке и корректировке бизнес-стратегий. Необходимо определить, что требует корректировки уже в существующей стратегии, а что можно отложить на следующий стратегический раунд.
В фокусе аудитора
Как правило, в центре внимания аудитора оказывается документация, причем не только план обеспечения
непрерывности бизнеса ,
план восстановления бизнеса после аварии, планы и отчеты по учениям, но и ряд других документов.
Аудитор проведет интервью не только с руководством компании, но и с сотрудниками
Находясь на территории предприятия, он проведет визуальную оценку офисных, производственных, технологических, складских и иных помещений, обратит внимание на систему контроля доступа и т.п. Однако, в связи с тем, что у дистрибьютеров нет производственных мощностей, в данном случае аудитора будут интересовать преимущественно складские, технические и офисные помещения.
Аудитор обратит внимание на создание системы менеджмента непрерывности бизнеса относительно цикла Plan-Do-Check-Act (PDCA), а также на вопросы:
-
лидерства для достижения целей системы менеджмента непрерывности бизнеса, мотивации персонала способствовать росту эффективности системы, а также на роли и зоны ответственности в процессе управления непрерывностью бизнеса, отношение к делегированию полномочий;
-
планирования, то есть действий по управлению рисками и возможности их снижения;
-
поддержки, а именно выделения необходимых ресурсов, наличия обмена информацией, и должного документирования;
-
функционирования – наличия стратегии, контроля ее выполнения, анализа влияния на бизнес и оценки рисков;
-
оценки эффективности – внутренний аудит и анализ со стороны руководства;
-
улучшения – выявление несоответствий и корректирующее действие.
Для того чтобы оценить компетенции и уровень развития персонала, используйте ИСО/ТУ 30411:2018 «Менеджмент человеческих ресурсов. Качество найма персонала»
Определить подходящую стратегию непрерывности бизнеса непросто. Для грамотной защиты, стабилизации ситуации, восстановления работоспособности предприятия и обеспечения необходимыми ресурсами, а также для смягчения негативных воздействий и разработки ответных мер стоит использовать
ИСО/ТУ 22331:2018 .
Меры аварийного восстановления для IT-сервисов и инфраструктурных проектов целесообразно уточнять на основе рекомендаций стандарта COBIT.
Кроме того, существуют значения, которые устанавливаются бизнесом индивидуально, исходя из задач. Например:
-
требуемое время восстановления ;
-
контрольные точки возврата .
Выявить риски и возможности
ESG-риски открывают для компаний и новые возможности. В частности, по обновлению и оптимизации производственных цепочек и внедрению прогрессивных технологий, которые принесут дивиденды в долгосрочной перспективе — а в итоге повысят капитализацию компаний и их привлекательность для инвесторов и потребителей.
Клиенты, покупающие бриллианты, при прочих равных готовы платить за то, что компания уделяет внимание экологической и социальной составляющей своего бизнеса и может успешно конкурировать с производителями «экологически чистых» искусственных бриллиантов. . Таким образом, следование ESG-принципам влечет за собой не только дополнительные расходы, но и экономию, а также источники прибыли для будущего и ощутимые конкурентные преимущества.
Таким образом, следование ESG-принципам влечет за собой не только дополнительные расходы, но и экономию, а также источники прибыли для будущего и ощутимые конкурентные преимущества.
Источники финансирования этих расходов на первых порах можно изыскать из более эффективного использования существующих ресурсов, в том числе и небезупречных с точки зрения «углеродного следа». Примерно такую политику в отношении устойчивого развития сейчас проводит Китай.
Пока есть спрос и высокие цены на уголь, выручку от его продажи Поднебесная пускает на масштабные инфраструктурные проекты и модернизацию «грязных производств».
Техническое обслуживание
Двухгодичное или ежегодное техническое обслуживание руководства BCP разбито на три периодических действия.
- Подтверждение информации в руководстве, распространение среди персонала для ознакомления и специального обучения критически важных лиц.
- Тестирование и проверка технических решений, разработанных для операций восстановления.
- Тестирование и проверка процедуры восстановления организации.
Проблемы, обнаруженные на этапе тестирования, часто необходимо возвращать на этап анализа.
Информация / цели
Руководство BCP должно развиваться вместе с организацией и содержать информацию о, кто должен знать, что
- серия контрольных списков
- работа описания, необходимые наборы навыков, требования к обучению
- документация и управление документами
- определения терминологии для облегчения своевременного общения во время аварийного восстановления,
- списки рассылки (сотрудники, важные клиенты, поставщики / поставщики)
- информация о коммуникационной и транспортной инфраструктуре (дороги, мосты)
Техническая
Необходимо поддерживать специализированные технические ресурсы. Проверки включают:
- Распространение определений вирусов
- Безопасность приложений и распространение исправлений для служб
- Работоспособность оборудования
- Работоспособность приложений
- Проверка данных
- Приложение для обработки данных
Тестирование и проверка процедур восстановления
Изменения программного обеспечения и рабочих процессов должны быть задокументированы и подтверждены, включая проверку того, что задокументированные задачи восстановления рабочего процесса и поддерживающая инфраструктура аварийного восстановления позволяют персоналу восстанавливать заданное время восстановления.
Роли и области ответственности, участвующие в управлении ИТ-инцидентами
Несмотря на то что в каждой организации могут иметься собственные настраиваемые роли и области ответственности, существует ряд ролей, которые наиболее часто используются в управлении ИТ-инцидентами.
Конечный пользователь/пользователь/автор заявки
Это та заинтересованная сторона, которая обычно испытывает перебои в работе службы и создает заявку об инциденте для запуска процесса управления инцидентами.
Служба поддержки уровня 1
Первая точка обращения авторов заявок, которые хотят сообщить об инциденте. К службе поддержки уровня 1 обычно относятся технические специалисты, обладающие практическими знаниями в области наиболее распространенных проблем, которые могут возникать в ИТ-среде, включая запросы на сброс паролей и проблемы в работе Wi-Fi.
Служба поддержки уровня 2
Технические специалисты этого уровня обладают глубокими знаниями в области управления инцидентами. Они обычно занимаются более сложными обращениями от конечных пользователей; от также получают заявки при эскалации проблем от специалистов уровня 1.
Служба поддержки уровня 3 (и выше)
Этот уровень обычно представлен специалистами с экспертными знаниями в определенной области информационных технологий. Например, технические специалисты в области обслуживания оборудования и поддержки серверов специализируются в очень узких областях.
Инцидент-менеджер
Данное заинтересованное лицо играет ключевую роль в процессе управления инцидентами. Помимо других своих обязанностей, инцидент-менеджер организует мониторинг эффективности процесса, предоставляет рекомендации по улучшению, а также обеспечивает соблюдение процесса.
Ответственный за процесс
Назначается лицом, ответственным за соблюдение процесса управления инцидентами. Также анализирует, изменяет и улучшает процесс, чтобы он оптимально подходил для организации.
У каждой роли имеется своя уникальная область ответственности, как указано ниже.
-
- Обращается в службу поддержки с заявкой об инциденте.
- Отслеживает существующую заявку.
- Четко сообщает все требуемые сведения техническим специалистам.
- Подтверждает восстановление работы службы и выполнение заявки.
- Принимает участие в контрольном опросе для предоставления обратной связи после выполнения заявки.
-
- Регистрация всех входящих заявок об инцидентах со всеми применимыми параметрами, такими как категория, срочность и приоритет.
- Назначение заявок техническим специалистам.
- Анализ инцидента и предоставление решения для возобновления работы службы.
- Эскалация неразрешенных инцидентов в службу поддержки уровня 2.
- Сбор всей требуемой информации от авторов заявок и отправка им регулярных обновлений относительно статуса их заявки.
- Точка обращения для авторов заявок и координация действий специалистов службы поддержки уровня 2 и авторов заявок, если это необходимо.
- Проверка решения с конечным пользователем и сбор отзывов.
-
- Выполнение диагностики по инциденту.
- Документирование действий, предпринятых для устранения инцидента, и отправка статей базы знаний.
- Определение инцидента как проблемы и преобразование заявки об инциденте в заявку о проблеме.
- Если инцидент устранен, подтверждение факта устранения конечным пользователем.
- Если инцидент не устранен, эскалация в службу поддержки уровня 3.
- Если инцидент не устранен, эскалация группе по решению ИТ-проблем для определения основной причины или внешним поставщикам (в соответствии с ситуацией).
- Предоставление экспертных знаний в предметной области.
-
- Точка обращения для сообщения обо всех серьезных инцидентах.
- Планирование и реализация всех мероприятий в рамках процесса управления инцидентами.
- Соблюдение надлежащего процесса обработки всех заявок и исправление любых отклонений.
- Координация действий с ответственным за процесс и коммуникация с ним.
- Обеспечение соответствия требованиям SLA.
- Определение инцидентов, устранение которых требуется проконтролировать, и контроль таких инцидентов.
-
Ответственный за процесс
- Несет ответственность за весь процесс управления инцидентами.
- Определение ключевых показателей эффективности (КПЭ) и их сопоставление с критическими факторами успеха (КФУ).
- Проверка КПЭ и обеспечение их соответствия бизнес-целям и КФУ.
- Разработка, документирование, обзор и улучшение процессов.
- Обеспечение непрерывного совершенствования услуг: проверка и улучшение процедур, политик, ролей, технологии и других аспектов процесса управления инцидентами.
- Отслеживание отраслевых рекомендаций и их применение в процессе управления инцидентами.
Практика BC/DR в России
Не только для банковских структур, но и для подавляющего большинства российских компаний вопросы непрерывности бизнеса сегодня также своевременны. В России высока вероятность техногенных и природных катастроф, чрезвычайные ситуации возникают практически ежедневно. При этом спектр угроз экономической, физической и информационной безопасности, а также перечень уязвимостей технической инфраструктуры отечественного бизнеса, и в частности корпоративных информационных систем, постоянно растет. В этих условиях для любой российской компании актуальны следующие вопросы:
насколько компания нуждается в планировании непрерывности бизнеса;
какие нормативно-методические указания и требования по обеспечению непрерывности бизнеса существуют?
В настоящее время предлагаемые на российском рынке решения в основном относятся к восстановлению составляющих информационных технологий, т.е. DRP
Но серьезные компании все чаще и чаще обращают внимание именно на BCP. Из российских компаний опытом и квалификацией в этой сфере IT-бизнеса обладают пока только несколько компаний, среди которых КРОК, которая одна из первых получила сертификацию BSI
В рамках консультационных и технологических услуг по обеспечению непрерывности бизнеса компания предлагает решения, направленные на снижение рисков прерывания бизнес-процессов, негативных последствий таких сбоев, восстановление функционирования бизнес-процессов в заданном объеме и в установленные сроки.
Что такое принципы ESG и как они работают на практике
Вот как расшифровывается аббревиатура ESG:
- Enviroment (окружающая среда). К этой части относится всё, что связано с экологией. Компании могут задуматься о безотходном производстве и раздельном сборе мусора на своей фабрике или, например, полностью отказаться от полиэтиленовых пакетов, если речь идёт о ретейле. Главная цель этих мер — сохранение или улучшение окружающей среды.
- Social (общество). Этот принцип касается коммуникации фирмы со всеми, кто с ней взаимодействует: сотрудниками, клиентами, подрядчиками. Мерами ESG здесь могут быть премирование, медицинская страховка и, например, отсутствие переработок.
- Governance (управление). На эту составляющую смотрят инвесторы. Группу факторов, которые относятся к Governance, называют «нефинансовыми». К «нефинансовым факторам» относится прозрачность отчётности, антикоррупционная политика внутри компании и отношения с акционерами. Многоголосые акции, например, считаются спорной практикой в контексте ESG — ведь голоса миноритариев при такой системе сильно обесцениваются.
Сооснователь Vinci Agency Александр Изряднов замечает, что сейчас есть активный спрос на ESG в области HR-коммуникаций. «Норникель», например, транслирует заботу о безопасности сотрудников. В этом году «Норникель» освещал создание промышленных экзоскелетов, созданных для работы в условиях, которые требуют повышенной безопасности. Такие кампании работает не только на внутреннюю, но и на внешнюю аудиторию, и демонстрирует общественности, включая инвесторов и партнёров, социальную ответственность бизнеса.
Фото: «Норникель»
Другой пример — на этот раз касающийся принципа Social. Компания Qiwi разработала собственный EdTech-портал Qampus с подборками обучающих материалов. На портале можно выбрать индивидуальный план развития и самостоятельно контролировать прогресс. Уже по итогам первого года сотрудники стали больше интересоваться саморазвитием и образованием: доля людей, которые посещают портал Qampus, увеличилась с 30 до 75%.
Qampus — обучающий портал для сотрудников QiwiИзображение: пресс-служба Qiwi
Руководитель проектов компании «ЭкоТехнологии» Виктория Сафонова говорит, что с каждым годом увеличивается число людей, для которых важна ответственность компаний-производителей, чью продукцию они покупают. По мнению Виктории, совсем не задумываться об экологическом следе компании сегодня — значит терять эту аудиторию сейчас и в будущем.
В компании, которые занимаются экологизацией бизнеса, обращаются с запросами:
- на экопросвещение сотрудников и клиентов компании;
- на анализ упаковки — компании интересует, можно ли её перерабатывать или заменить на перерабатываемую;
- на организацию раздельного сбора отходов;
- на подготовку экологичного мероприятия;
- на установку оборудования для сбора упаковки — эту роль могут играть фандоматы, экопункты и обычные контейнеры для сбора;
- на проекты замкнутого цикла — closed loop.
По словам Виктории Сафоновой, большая часть клиентов компании — крупные игроки, действующие в соответствии с международными ESG-стандартами. Поэтому проекты реализуют в рамках стратегий устойчивого развития этих компаний и в соответствии с ESG-критериями, которые важны для стейкхолдеров
Для многих компаний экопросвещение сотрудников и клиентов важно само по себе. Виктория говорит, что чаще всего сотрудники клиентов сами искренне вовлечены в повестку и хотят не только достичь корпоративной цели, но и сделать мир лучше
Поэтому здесь есть место и творчеству: компании часто обращаются в «ЭкоТехнологии» с запросом на ESG-проект и вместе создают что-то новое и уникальное.
Что такое управление непрерывностью
Управление непрерывностью ИТ-услуг (IT Service Continuity Management, ITSCM) — это процесс, который направлен на поддержку бесперебойного предоставления сервисов. Он преследует следующие цели:
- исключение простоев в предоставлении ИТ-услуг;
- минимизация ущерба для бизнеса от нежелательных событий;
- сокращение сроков недоступности сервиса в экстренных ситуациях.
Риски и нежелательные события рассматриваются в этом процессе как неизбежность. Вопрос в том, чтобы их спрогнозировать и предотвратить, а если не удастся — свести к минимуму негативные последствия для компании. Например, к таким событиям относятся крупные инциденты в ИТ-инфраструктуре (аварии в ЦОД, отключение электроэнергии, DDoS-атаки), стихийные бедствия, техногенные катастрофы. После подобных инцидентов требуются значительные ресурсы, чтобы восстановить ИТ-услуги.
Отсюда и основные метрики непрерывности услуг:
- целевое время восстановления — срок, когда услуги будут вновь доступны после сбоя;
- целевая точка восстановления — период перед следующим сбоем, до которого необходимо сохранить все данные. От этой метрики зависит выбор частоты и способов резервного копирования данных.
Прерывание сервисов влечет негативные для бизнеса последствия
2.5 Тестирование и мониторинг планов BCP
Планы по обеспечению непрерывности бизнеса можно считать надежными, только в случае их регулярного тестирования и актуализации.
При тестировании планов, выявляются несостыковки в инструкциях, проводится обучение персонала, повышается уровень взаимодействия и компетентности задействованных сотрудников.
Возможные подходы по тестированию планов BCP:
- Опрос (checklist test) — проводится методом анкетирования подразделений, задействованных сотрудников компании;
- Проход по плану (structured walk-through) — пошаговое ролевое чтение планов BCP членами команды BCP, вирутальное выполнение процедур планов BCP;
- Моделирование (simulation test) — виртуальное моделирование прерывания выбранных бизнес-процессов или сбоя активов;
- Тестирование на реальном объекте (interruption test) — реальная остановка бизнес-процесса/актива и выполнение комплекса работ по ее восстановлению согласно планам BCP.
Чем серьезнее бизнес, тем более серьезным должно быть тестирование. В идеале — проводятся реальные прерывания бизнес-процессов, с прогоном по всем шагам плана BCP. Я нечастно видел такое, но эффект классный — план становится реальным.
Ну а чаще всего, разыгрываются ролевые игры, когда за общим столом каждый из членов команды BCP «проигрывает» свои действия.
По результатам тестирования должен быть создан отчет, на основании которого принимаются решения об обновлении плана, применении доп. защитных мер и т.п. Кроме того, данный отчет требуется стандартом.
Еще хотел написать О создании культуры компании, о встраивании практик BCM в культуру компании. Но это же фантастика для славян, не будем:)
3. Заключение
Как бы ни банально звучало, эффективность планирования непрерывности бизнеса напрямую зависит от степени заинтересованности руководства.
А что по поводу сложности внедрения — тут все просто: глаза боятся, руки делают:)
4. Полезные ссылки:
- Мои термины BCM — термины, примеры disruptions
- Планирование обеспечения непрерывности бизнеса и восстановления — Дорофеев Александр. Отличная работа, кратко, лаконично, по делу.
- Стандарты, как же без них: ISO 22317 — BIA (draft), также ISO 22301 и 22313 (ссылки не даю, в инете можно найти).
Политика управления непрерывностью бизнеса
Для совсем небольших компаний политику можно совместить с процедурой. Но для компаний побольше, а также компаний, имеющих постоянный контакт с зарубежными партнерами — лучше иметь краткую и лаконичную политику.
В Политике BCM нужно прописать:
- роли, ответственности, область действия;
- правила — что должен сделать каждый из офисов компании, либо каждое из подразделений (если речь идет о компании с одним офисом);
вот примерный список обязательных действий: определить что защищать, до какого уровня, определить общую стратегию по защите, разработать собственно сами процедуры по защите; - желательно упомянуть про необходимость соответствовать локальному законодательству, об интеграции с BCP планами поставщиков и вендоров;
Зачем компании нужен рейтинг ESG
ESG-рейтинг может быть полезен компании для публичной демонстрации следования ESG-повестке. Рейтинговое агентство подтверждает, что компания учитывает социальные аспекты, своё влияние на окружающую среду и делает акцент на прозрачности корпоративного управления.
Такой рейтинг понадобится, если компания планирует привлечь финансирование для «зелёных» или социальных проектов. Иными словами, ESG-рейтинг высокого уровня — доказательство успеха в сфере ESG. Он отражает одновременно подверженность компании ESG-рискам и желание и способность менеджмента работать с ними, управлять своим влиянием на окружающую среду и общество.
Позиции одной и той же компании в ESG-рейтингах по разным системам могут существенно различаться. Рейтинговые агентства учитывают разные факторы ESG и придают им разный вес при подсчёте баллов. Но стоит помнить, что эти оценки весьма условны: в них мало количественных показателей, много допущений, а методики расчёта недостаточно прозрачны.
Самые известные мировые ESG-рейтинги — Sustainalytics, MSCI, ISS ESG, RobecoSAM, S& P Global Ratings, ESG evaluation и RAEX Europe. Сотрудничество с ними для российских компаний сейчас затруднено или в принципе невозможно.
Финансовый и ESG-аналитик Банка России Ярослав Ченчик говорит, что российские компании могут обратиться к отечественным рейтинговым агентствам: например, «Эксперт РА», АКРА и НРА. Услуга оценки платная: нужно заключить договор и предоставить агентству требуемую нефинансовую информацию. Предполагается, что к моменту заказа оценки у компании уже сформировалось понимание темы ESG, возможно, есть стратегия устойчивого развития и готовые проекты, которые можно оценивать. Если их нет или они недостаточно проработаны, можно обратиться к консалтинговым компаниям.
Методология оценки ESG от агентства АКРАИнфографика: АКРА
Чтобы точнее определиться с ESG-стратегией, Ярослав Ченчик рекомендует использовать карту существенности. Одна из них разработана SASB — Советом по стандартам учёта в области устойчивого развития.
Заключение
Подводя итог, необходимо отметить, что руководители компании являются хранителями ее интересов. Они должны применять качественные методы управления, которые обеспечат получение прибыли, должное качество продукции и услуг, стабильность и развитие компании в интересах ее заказчиков, сотрудников и инвесторов.
При отсутствии эффективного Плана обеспечения бесперебойной деятельности организации в случае нештатных ситуаций могут возникнуть следующие проблемы и опасности:
прерывание деятельности, которое влечет за собой неспособность обслуживать имеющихся заказчиков, потерю перспектив для бизнеса и престижа, снижение конкурентоспособности;
финансовый ущерб из-за невозможности обрабатывать счета дебиторов, обновлять балансы счетов и потерянных или неучтенных продаж;
юридическая ответственность из-за невыполнения обязательств по контрактам;
прекращение деятельности организации.
Под планированием бесперебойной деятельности организации в случае нештатных ситуаций понимается выявление и защита критически важных бизнес-процессов и ресурсов, необходимых для поддержания ее деятельности на нужном уровне, а также разработка процедур, которые обеспечат выживание организации при нарушении ее нормальной деятельности.
Для обеспечения бесперебойной деятельности необходимо учитывать все взаимосвязанные внешние и внутренние функции, в том числе ручные методы учета и обработки информации.
Эффективный план обеспечения бесперебойной деятельности является относительно недорогой формой страхования компаний от последствий возможных бедствий, и затраты на него должны рассматриваться как составляющая необходимых издержек на поддержание нормальной деятельности.
Р.Заединов
Руководитель направления
центров обработки данных
компании КРОК